Examiner les alertes de protection contre la perte de données avec Microsoft Defender XDR

  • Article

S’applique à :

  • Microsoft Defender XDR

Vous pouvez gérer les alertes Protection contre la perte de données Microsoft Purview (DLP) dans le portail Microsoft Defender. Ouvrez Incidents & alertes>Incidents lors du lancement rapide du portail Microsoft Defender. À partir de cette page, vous pouvez :

  • Affichez toutes vos alertes DLP regroupées sous incidents dans la file d’attente des incidents Microsoft Defender XDR.
  • Affichez les alertes inter-solution intelligentes (DLP-MDE, DLP-MDO) et intra-solution (DLP-DLP) corrélées sous un seul incident.
  • Recherchez les journaux de conformité ainsi que la sécurité sous Repérage avancé.
  • Actions de correction sur place de l’administrateur sur l’utilisateur, le fichier et l’appareil.
  • Associez des balises personnalisées aux incidents DLP et filtrez-les.
  • Filtrez par nom de stratégie DLP, balise, date, source de service, status d’incident et utilisateur sur la file d’attente unifiée des incidents.

Conseil

Vous pouvez également extraire des incidents DLP ainsi que des événements et des preuves dans Microsoft Sentinel à des fins d’investigation et de correction avec le connecteur Microsoft Defender XDR dans Microsoft Sentinel.

Conditions d'octroi de licence

Pour examiner les incidents Protection contre la perte de données Microsoft Purview dans le portail Microsoft Defender, vous avez besoin d’une licence de l’un des abonnements suivants :

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Conformité Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 Protection de l’information et Gouvernance

Remarque

Lorsque vous disposez d’une licence et que vous êtes éligible à cette fonctionnalité, les alertes DLP sont automatiquement transmises à Microsoft Defender XDR. Si vous ne souhaitez pas que les alertes DLP soient transmises à Defender, ouvrez un cas de support pour désactiver cette fonctionnalité. Si vous désactivez cette fonctionnalité, les alertes DLP apparaissent dans le portail Defender en tant que Microsoft Defender pour les alertes Office.

Rôles

Il est recommandé d’accorder uniquement des autorisations minimales aux alertes dans le portail Microsoft Defender. Vous pouvez créer un rôle personnalisé avec ces rôles et l’attribuer aux utilisateurs qui doivent examiner les alertes DLP.

Autorisation Accès aux alertes Defender
Gérer les alertes DLP + Sécurité
View-Only Gérer les alertes DLP + Sécurité
Analyste Information Protection DLP uniquement
Gestion de la conformité DLP DLP uniquement
View-Only gestion de la conformité DLP DLP uniquement

Avant de commencer

Activez les alertes pour toutes vos stratégies DLP dans le portail de conformité Microsoft Purview.

Remarque

Les restrictions d’unités administratives circulent de la protection contre la perte de données (DLP) vers le portail Defender. Si vous êtes administrateur restreint d’unité administrative, vous verrez uniquement les alertes DLP pour votre unité administrative.

Examiner les alertes DLP dans le portail Microsoft Defender

  1. Accédez au portail Microsoft Defender, puis sélectionnez Incidents dans le menu de navigation de gauche pour ouvrir la page des incidents.

  2. Sélectionnez Filtres en haut à droite, puis choisissez Source de service : Protection contre la perte de données pour afficher tous les incidents avec des alertes DLP. Voici quelques exemples de sous-filtres disponibles en préversion :

    1. par nom d’utilisateur et d’appareil
    2. (en préversion) Dans le filtre Entités , vous pouvez effectuer des recherches sur les noms de fichiers, les noms d’utilisateur, d’appareil et les chemins d’accès aux fichiers.
    3. (en préversion) Dans la file d’attente >IncidentsStratégies d’alerte> Titre de stratégie d’alerte. Vous pouvez effectuer une recherche sur le nom de la stratégie DLP.

  3. Recherche pour le nom de la stratégie DLP des alertes et des incidents qui vous intéressent.

  4. Pour afficher la page de résumé de l’incident, sélectionnez l’incident dans la file d’attente. De même, sélectionnez l’alerte pour afficher la page d’alerte DLP.

  5. Consultez le récit de l’alerte pour plus d’informations sur la stratégie et les types d’informations sensibles détectés dans l’alerte. Sélectionnez l’événement dans la section Événements associés pour afficher les détails de l’activité utilisateur.

  6. Affichez le contenu sensible correspondant sous l’onglet Types d’informations sensibles et le contenu du fichier sous l’onglet Source si vous disposez de l’autorisation requise (Voir les détails ici).

Étendre l’investigation des alertes DLP avec la chasse avancée

La chasse avancée est un outil de repérage des menaces basé sur des requêtes qui vous permet d’explorer jusqu’à 30 jours de journaux d’audit des utilisateurs, des fichiers et des emplacements de site pour faciliter votre investigation. Vous pouvez inspecter de manière proactive les événements de votre réseau pour localiser les indicateurs et entités de menace. L’accès flexible aux données facilite le repérage sans contrainte pour les menaces connues et potentielles.

La table CloudAppEvents contient tous les journaux d’audit de tous les emplacements tels que SharePoint, OneDrive, Exchange et appareils.

Avant de commencer

Si vous débutez avec la chasse avancée, consultez Prise en main de la chasse avancée.

Avant de pouvoir utiliser la chasse avancée, vous devez avoir accès à la table CloudAppEvents qui contient les données Microsoft Purview.

Utilisation de requêtes intégrées

Importante

Cette fonctionnalité est en préversion. Les fonctionnalités en préversion ne sont pas destinées à une utilisation en production et peuvent avoir des fonctionnalités restreintes. Ces fonctionnalités sont disponibles avant une version officielle afin que les clients puissent obtenir un accès en avant-première et fournir des commentaires.

Le portail Defender propose plusieurs requêtes intégrées que vous pouvez utiliser pour faciliter l’investigation de votre alerte DLP.

  1. Accédez au portail Microsoft Defender, puis sélectionnez Incidents & alertes dans le menu de navigation de gauche pour ouvrir la page des incidents. Sélectionnez Incidents.
  2. Sélectionnez Filtres en haut à droite, puis choisissez Source de service : Protection contre la perte de données pour afficher tous les incidents avec des alertes DLP.
  3. Ouvrez un incident DLP.
  4. Sélectionnez une alerte pour afficher ses événements associés.
  5. Sélectionnez un événement.
  6. Dans le volet d’informations de l’événement, sélectionnez le contrôle Go Hunt .
    1. Defender affiche une liste de requêtes intégrées pertinentes pour l’emplacement source de l’événement. Par exemple, si l’événement provient de SharePoint, vous voyez
      1. Fichier partagé avec
      2. Activités de fichier
      3. Activité du site
      4. Violations DLP de l’utilisateur au cours des 30 derniers jours
  7. Vous pouvez choisir d’exécuter la requête immédiatement, de modifier l’intervalle de temps, de modifier ou d’enregistrer la requête pour une utilisation ultérieure.
  8. Une fois que vous avez exécuté la requête, affichez les résultats sous l’onglet Résultats .

Si l’alerte concerne un e-mail, vous pouvez télécharger le message en sélectionnant Actions>Télécharger l’e-mail.

Si l’alerte concerne un fichier dans SharePoint Online ou One Drive for Business, vous pouvez effectuer les actions suivantes :

Pour les actions de correction, sélectionnez le carte utilisateur en haut de la page d’alerte pour ouvrir les détails de l’utilisateur.

Pour Les alertes DLP des appareils, sélectionnez l’appareil carte en haut de la page d’alerte pour afficher les détails de l’appareil et effectuer des actions correctives sur l’appareil.

Accédez à la page récapitulative de l’incident et sélectionnez Gérer l’incident pour ajouter des balises d’incident, attribuer ou résoudre un incident.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.